Diplôme d’Université

Sécurité de l’information

et du système d’information

En partenariat avec

Livret Stagiaire V7 – 10-2019

Présentation de la formation

OBJECTIFS DE LA FORMATION IMPACT PROFESSIONEL

Comprendre les enjeux de la cybersécurité et
connaître les menaces.
Savoir se protéger et protéger son activité
qu’elle soit individuelle ou collective.
En fonction de son profil :
• Informaticien : évolution vers des fonctions
de cadre ou d’agent en charge de la
sécurité du système d’information.
• Libéral, auto-entrepreneur, gérant,
artisan/commerçant : sécurisation de son
activité contre les cyberattaques.

ORGANISATION DE LA FORMATION SECTEURS D’ACTIVITÉ

126h (21 jours) réparties sur 6 mois : Tous les secteurs d’activité sont concernés par la
• 24h de rappels généraux (option). cybersécurité.
• 12h d’introduction au contexte.
• 7 modules thématiques de 12h.
• 1 journée de soutenance finale.

NOS ATOUTS
• Des formateurs professionnels et académiques expérimentés.
• Un cadre de formation de qualité et une équipe à votre écoute.
• Des partenaires professionnels engagés aux côtés de l’IAE : banques et acteurs industriels, etc.
• Obtention d’un diplôme académique.

Informations pratiques

Pour travailler sur les contenus de la formation, vous devez venir avec un ordinateur portable d’une
configuration suffisante (modèle récent).

Avec votre inscription à l’Upec, vous bénéficiez de tous les avantages offerts par le statut d’étudiant :
accès aux ressources numériques, accès à la bibliothèque, CROUS, etc.

En cas de problème avant ou pendant la formation, contacter la formation :

N° téléphone / adresse mail
IAE Gustave Eiffel
4 route de Choisy, 94000 Créteil
Accès : métro ligne 8 (arrêt Créteil Université) ; bus TVM (arrêt Créteil Université)

2
Programme de la formation / référentiel d’activités et de certification

Unités d’enseignement et matières Volume horaire Coefficient Modules du référentiel ANSSI SecnumEdu-FC inclus
(présentiel) (ECTS) dans les unités d’enseignement

UE 1 : Comprendre le contexte de la cybersécurité 36h 2 Module 1 – Cybersécurité : notions de bases, enjeux et

• ECUE 1.1 : Éléments de contexte sur l’informatique et 24h droit commun
les systèmes d’information (en option)
• ECUE 1.2 : Cybersécurité : les enjeux, les menaces, les 12h
risques, les métiers

UE 2 : Identifier et gérer les risques 12h 1

UE 3 : Définir et organiser la sécurité du SI 48h 3 Module 2 – L’hygiène informatique pour les utilisateurs
• ECUE 3.1 : Politique de sécurité, Principe de SMSI 12h Module 3 – Gestion et organisation de la cybersécurité
• ECUE 3.2 : Audit de sécurité 12h Module 5 – Administration sécurisée du SI interne d’une
• ECUE 3.3 : Intégrer la sécurité dans les projets, 12h entreprise
sensibiliser et former, sécuriser les identités Module 6 – La cybersécurité des entreprises ayant
• ECUE 3.4 : Préparer et gérer les crises, assurer la 12h externalisé tout ou partie de leur SI
continuité, surveiller l’activité

UE 4 : Intégrer l’environnement juridique, règlementaire et 12h 1 Module 4 – Protection de l’innovation et cybersécurité

normatif

UE 5 : Mettre en place la sécurité technique du SI 12h 1 Module 7 – Sécurité des sites internet gérés en interne

UE 6 : Mémoire de fin de formation 6h 1

Livret Stagiaire V7 – 10-2019

Référentiel d’activités
Domaines d’activités
1- Comprendre le contexte
de la cybersécurité
2- Identifier et gérer les
risques
3- Définir et organiser la
sécurité du SI
4- Intégrer l’environnement
juridique, réglementaire et
normatif
5- Mettre en place la sécurité
technique du SI
Livret Stagiaire V7 – 10-2019
Référentiel de certification
Compétences associées Résultats attendus observables et/ou Critères, conditions
mesurables d’évaluation
1.1- Connaître les éléments de définition de la 1.1 à 1.3 - Connaissances attestées par 1.1 à 1.3 - Validation du
cybersécurité (enjeux, besoin, métiers, les réponses à un QCM sur l’ensemble QCM avec au moins 85%
composants, risques, etc.) des éléments abordés. de bonnes réponses.
1.2- Connaître les différents types d’attaque.
1.3- Connaître les activités et métiers de la
cybersécurité.
2.1- Connaître les principaux risques. 2.1 - Connaissances attestées par les 2.1 - Validation du QCM
2.2- Analyser les risques. réponses à un QCM sur l’ensemble des avec au moins 85% de
2.3- Traiter les risques et construire des plans éléments abordés. bonnes réponses.
d’actions. 2.2 à 2.3 – Rédaction d’un micro- 2.2 à 2.3 – Micro-mémoire
mémoire d’étude de cas sur un cas conforme aux attentes.
d’école ou sur l’activité professionnelle.
3.1- Définir une politique de sécurité. 3.1 à 3.8 - Rédaction d’un micro- 3.1 à 3.8 - Micro-mémoire
3.2- Mener ou commanditer un audit de sécurité. mémoire d’étude de cas sur un cas conforme aux attentes.
3.3- Intégrer la sécurité dans la conception et la d’école ou sur l’activité professionnelle.
réalisation du SI.
3.4- Sensibiliser et former les collaborateurs.
3.5- Préparer la gestion des crises, gérer les crises.
3.6- Sécuriser les identités.
3.7- Sécuriser l’infrastructure.
3.8- Surveiller l’activité.
4.1- Connaître l’environnement normatif (COBIT, 4.1 à 4.3 - Connaissances attestées par 4.1 à 4.3 - Validation du
ITIL, ISO, etc.) les réponses à un QCM sur l’ensemble QCM avec au moins 85%
4.2- Connaître l’environnement législatif (LPM, NIS, des éléments abordés. de bonnes réponses.
etc.)
4.3- Connaître l’environnement règlementaire et
ses conséquences (CNIL, RGPD).
5.1- Sécuriser l’infrastructure réseau. 5.1 à 5.5 - Rédaction d’un micro- 5.1 à 5.5 - Micro-mémoire
5.2- Sécuriser l’infrastructure logicielle (OS, mémoire d’étude de cas sur un cas conforme aux attentes.
données, etc.) d’école ou sur l’activité professionnelle.
5.3- Sécuriser le site web.
5.4- Utiliser les outils de la sécurité.
5.5- Utiliser la cryptologie.
 Descriptif des modules d’enseignement

ECUE 1.2 : Cybersécurité : les enjeux, les menaces, les risques, les métiers (12h)
Objectifs Compétences et connaissances
Connaître les éléments de contexte de la 1.1- Connaître les éléments de définition de la
cybersécurité : enjeux, besoins, métiers, cybersécurité (enjeux, besoin, métiers,
compétences, risques, attaques, etc. composants, risques, etc.)
1.2- Connaître les différents types d’attaque.
1.3- Connaître les activités et métiers de la
cybersécurité.
Contenu
• Éléments de définition de la cybersécurité :
oNotions de vulnérabilité / menaces / attaques.
oLes 5 composantes du SI : réseaux, OS, serveurs et postes de travail, applications
et… les utilisateurs.
o Sécurité et sûreté / la sureté de fonctionnement
o Quelques exemples « historiques » d'accidents de SI
o Les grands acteurs de la sécurité des SI : constructeurs, éditeurs, gouvernements
o Les OIV (Opérateurs d'Importance Vitale) et les enjeux gouvernementaux.
o La défense en profondeur
o Le service de l’information stratégique et sécurité économiques (SISSE)
• Les différents types d’attaque :
o La guerre de l'information, intelligence et veille économique
o L'espionnage industriel et la fuite d'information (Quelques grands exemples
historiques)
o Les motivations des attaques
o Les différentes attaques : rançongiciels, virus, ver, trojans, rootkits, malwares,
backdoor, spyware, keylogger, ….
o Décodage des attaques récentes
o L’ingénierie sociale
• Les activités et métiers de la cybersécurité :
o Les métiers et fonctions sensibles de l'entreprise
o Le RSSI, chef d'orchestre de la sécurité
o Le Risk Manager, l'administrateur de la sécurité,l'auditeur : les fonctions d'inspection
/ contrôle / audit et conseil
o Le CIL (CNIL), le DPO (RGPD)
o Les « asset owners » ou propriétaires des données.

Évaluation
• Connaissances attestées par les réponses à un QCM sur l’ensemble des éléments abordés.
• Validation du QCM avec au moins 85% de bonnes réponses.
Supports / outils / bibliographie
• Makhlouf, A., Hennion, R. (2018), Cybersécurité: Un ouvrage unique pour les managers,
Eyrolles.
• Boyer, B. (2015), Dictionnaire de la Cybersécurité et des Réseaux, Nuvis.
• Debize, T. (2016), Sécurité informatique: Pour les DSI, RSSI et administrateurs, Eyrolles.
• Arpagian, N. (2015), La cybersécurité, Presses Universitaires de France.
• Foray, B. (2011), La fonction RSSI - Guide des pratiques et retours d'expérience, Dunod.
• Flaus, J.-M. (2019), Cybersécurité des systèmes industriels, ISTE Editions.

Livret Stagiaire V7 – 10-2019

UE 2 : Identifier et gérer les risques (12h)
Objectifs Compétences et connaissances
Être capable d’identifier les risques qui pèsent 2.1- Connaître les principaux risques.
sur une activité ou un organisme et de 2.2- Analyser les risques.
construire une réponse globale à ces risques. 2.3- Traiter les risques et construire des plans
d’actions.
Contenu
• Les principaux risques :
o Les besoins de sécurité
o D I C : Disponibilité, Intégrité et Confidentialité + preuve et traçabilité
o Risques et menaces : accident, erreur, malveillance
o La continuité d'activité
• L’analyse des risques :
o Les risques opérationnels / physiques / logiques
o Les risques liés aux technologies : cloud, big data, transactions financières, systèmes
embarqués
o Les risques liés aux comportements : BYOD, e-paiement, nomadisme, le risque social
o Les risques humains : phishing, hoax, spam, ...
o Les caractéristiques du risque : potentialité / impact / gravité
o Le point de vue des assureurs
o Une base de connaissance des menaces et des vulnérabilités spécifiques
o L'analyse de risque dans le cadre de l'ISO27001 - L'approche PDCA
• Le traitement des risques et la construction des plans d’actions :
o La réponse : prévention / protection / report du risque / externalisation
o Le traitement des risques et les bonnes pratiques
o Les méthodes et référentiels : Marion, FEROS, EBIOS, MEHARI
o L'élaboration d'un plan d'action (travail pratique sur un cas)
o L'assurance ou externalisation du risque résiduel

Évaluation
• Connaissances attestées par les réponses à un QCM pour l’item 2.1, rédaction d’un micro-
mémoire d’étude de cas sur un cas d’école ou sur l’activité professionnelle pour les items 2.2
et 2.3.
• Validation du QCM avec au moins 85% de bonnes réponses et conformité du micro-
mémoire aux attentes.
Supports / outils / bibliographie
• Documents des formateurs
• Documents ANSSI (Guide d'hygiène informatique)
• Arduin, P.-E. (2018), La menace intérieure, ISTE Editions.
• Stamboliyska, R. (2017), La face cachée d'internet : hackers, dark net..., Larousse.
• Planche, A. (2018), La sécurité informatique en mode projet - Organisez la sécurité du SI de
votre entreprise, Editions ENI.

6
ECUE 3.1 : Politique de sécurité, Principe de SMSI (12h)
Objectifs Compétences et connaissances
Déployer les processus de maîtrise de la 3.1- Définir une politique de sécurité.
sécurité dans l’Entreprise
Contenu
• Politique générale et politique de sécurité des systèmes d'information (PSSI)
• Directives techniques et organisationnelles
• Déclinaisons opérationnelles
• Système de Management de la Sécurité
• Norme ISO27001
• Guide de bonne pratique 27002

Évaluation
• QCM 27001
• Micro-mémoire sur un cas pratique de mise en place d’un SMSI.
• Validation du QCM avec au moins 85% de bonnes réponses et conformité du micro-
mémoire aux attentes.
Supports / outils / bibliographie
• Documents des formateurs
• Quizz
• Normes ISO
• Ghrab, M. I. (2018), Audit de la sécurité des systèmes d'information, Univ Européenne.
• Bennasar, M. (2010), Plan de continuité d'activité et système d'information Vers
l'entreprise résiliente, Dunod.
• Blokdyk, G. (2017), Computer emergency response team: Everything You Need to Know,
CreateSpace Independent Publishing Platform.
• Liorrier, M., Bilet, V. (2018), Survivre à une cyberattaque: Anticiper, prévenir, réagir, VA
press.

7
ECUE 3.2 : Audit de sécurité (12h)
Objectifs Compétences et connaissances
Savoir commanditer ou participer à un 3.2- Mener ou commanditer un audit de
audit de sécurité. sécurité.

Contenu
• La démarche de contrôle : plan, référentiels, déroulement, cadrage, investigations,
restitution et le plan de remédiation
• Les méthodes d'investigation : objectifs, types et natures d'investigations,
entretiens, gestion de la preuve
• Le rapport : quantitatif et qualitatif
• Le plan de recommandations et le suivi des actions
• Le métier d'auditeur et les acteurs du marché

Évaluation
• QCM Certified Information Systems Auditor (CISA)
• Micro-mémoire sur un cas pratique de relevé de constats.
• Validation du QCM avec au moins 85% de bonnes réponses et conformité du micro-
mémoire aux attentes.
Supports / outils / bibliographie
• Documents des formateurs
• Quizz
• Normes ISO 19011
• Ghrab, M. I. (2018), Audit de la sécurité des systèmes d'information, Univ Européenne.
• Bennasar, M. (2010), Plan de continuité d'activité et système d'information Vers
l'entreprise résiliente, Dunod.
• Blokdyk, G. (2017), Computer emergency response team: Everything You Need to Know,
CreateSpace Independent Publishing Platform.
• Liorrier, M., Bilet, V. (2018), Survivre à une cyberattaque: Anticiper, prévenir, réagir, VA
press.

8
ECUE 3.3 : Intégrer la sécurité dans les projets, sensibiliser et former, sécuriser les
identités (12h)
Objectifs Compétences et connaissances
Prendre en compte la sécurité informatique 3.3- Intégrer la sécurité dans la conception et la
tout au long des projets réalisation du SI.
Sensibiliser les utilisateurs et maîtriser leurs 3.4- Sensibiliser et former les collaborateurs.
accès 3.6- Sécuriser les identités.

Contenu
• Intégrer la sécurité dans la conception et la réalisation du SI :
o La spécification de mesures de sécurité : le « PAS projet »
o Architecture sécurisée
o La sécurité des développements : Standard ISO 27034-1, OWASP, les
recommandations de l'ANSSI
o Tests et recette de sécurité
o Sécurisation des prestations externalisées : clauses contractuelles, PAS
o Traitement et recyclage des déchets d’équipements électriques et électroniques
(DEEE)
• Sensibiliser et former les collaborateurs :
o Une composante essentielle de la sécurité des SI : les RH
o Le public : qui, quoi, comment,... et pourquoi
o La stratégie RH dans ce domaine de la sécurité
o Ethique et déontologie professionnelle
o la « e-réputation »
o La charte de sécurité, annexe du RI et du contrat de travail (étude de document)
o Présentation d'une campagne de sensibilisation des utilisateurs, sur une base de
série télévisée (dessins animés)
• Sécuriser les identités et les acces :
o Identification, authentification
o Sécurité des mots de passes (Unix / Windows)
o Principe du mot de passe unique (SSO)
o Annuaire (LDAP, …)
o Biométrie

Évaluation
• Rédaction d’un micro-mémoire d’étude de cas sur un cas d’école ou sur l’activité
professionnelle.
• Conformité du micro-mémoire aux attentes.
Supports / outils / bibliographie
• Documents des formateurs
• Quizz
• Films
• Ghrab, M. I. (2018), Audit de la sécurité des systèmes d'information, Univ Européenne.
• Bennasar, M. (2010), Plan de continuité d'activité et système d'information Vers
l'entreprise résiliente, Dunod.
• Blokdyk, G. (2017), Computer emergency response team: Everything You Need to Know,
CreateSpace Independent Publishing Platform.
• Liorrier, M., Bilet, V. (2018), Survivre à une cyberattaque: Anticiper, prévenir, réagir, VA
press.

9
ECUE 3.4: Préparer et gérer les crises, assurer la continuité, surveiller l’activité (12h)
Objectifs Compétences et connaissances
Maitriser les mesures permettant d’assurer la 3.5- Préparer la gestion des crises, gérer les
surveillance des S.I et leur hébergement crises.
Savoir réagir en cas d’incident 3.7- Sécuriser l’infrastructure.
3.8- Surveiller l’activité

Contenu
• Préparer la gestion des crises, gérer les crises :
o Le management de crise : quelques exemples récents de crises SI
o Les types de crises et leurs conséquences
o La préparation, donc l'anticipation des crises
o Plans de sauvegarde / secours / repli
o Les plans de reprise d’activité (PRA) et plans de continuité d’activité (PCA)
o Le plan de gestion de crise (élaboration d'un exemple pratique) ?
• Sécuriser l’infrastructure d’hébergement :
o Sécurité et exploitation : l'hébergement sécurisé
o Le Cloud et la localisation des données
o Visite (si possible) d'un grand DataCenter
• Surveiller l’activité :
o Les systèmes de surveillance : Security Operations Center (SOC), Network
Operations Center (NOC)
o Le Computer Emergency Response Team (CERT), le Prestataire de Réponse à
Incidents de Sécurité (PRIS)
o Les systèmes de surveillance : SOC, NOC
o Le CERT, le PRIS

Évaluation
• Rédaction d’un micro-mémoire d’étude de cas sur un cas d’école ou sur l’activité
professionnelle – préparation d’un PCA simple.
• Conformité du micro-mémoire aux attentes.
Supports / outils / bibliographie
• Documents des formateurs
• Quizz
• Ghrab, M. I. (2018), Audit de la sécurité des systèmes d'information, Univ Européenne.
• Bennasar, M. (2010), Plan de continuité d'activité et système d'information Vers
l'entreprise résiliente, Dunod.
• Blokdyk, G. (2017), Computer emergency response team: Everything You Need to Know,
CreateSpace Independent Publishing Platform.
• Liorrier, M., Bilet, V. (2018), Survivre à une cyberattaque: Anticiper, prévenir, réagir, VA
press.

10
UE 4 : Intégrer l’environnement juridique, réglementaire et normatif (12h)
Objectifs Compétences et connaissances
Positionner correctement son activité et la 4.1- Connaître l’environnement normatif (COBIT,
sécurité du SI dans l’environnement juridique, ITIL, ISO, etc.)
règlementaire et normatif en vigueur. 4.2- Connaître l’environnement législatif (LPM,
NIS, etc.)
4.3- Connaître l’environnement règlementaire et
ses conséquences (CNIL, RGPD).
Contenu
• L’environnement normatif (COBIT, ITIL, ISO, etc.) :
o Les normes ISO 27000
o ITIL et les bonnes pratiques
o OWASP (Open Web Application Security Project)
• L’environnement législatif (LPM, NIS, etc.) :
o Les lois françaises sur la propriété intellectuelle
o L'application du code du travail à la sécurité des SI
o Les lois numériques et financières
o Les réglementations internationales : SOX, COSO
• L’environnement règlementaire et ses conséquences (CNIL, RGPD) :
o Un environnement français et européen.
o Les grands principes de la CNIL – Rôle , pouvoir et consultation
o Les obligations liées au RGPD et les sanctions possibles
• Les modalités de protection du patrimoine immatériel de l’entreprise
o Protection du potentiel scientifique et technique de la Nation (PPST, Zone à régime
restrictif ZRR)
o Arrêté du 3 juillet 2012 relatif à la protection du potentiel scientifique et technique
de la nation
Évaluation
• Connaissances attestées par les réponses à un QCM sur l’ensemble des éléments abordés.
• Validation du QCM avec au moins 85% de bonnes réponses.
Supports / outils / bibliographie
• Banck, A. (2019), RGPD : la protection des données à caractère personnel, Gualino.
• Guillemain, M. (2019), L’application du RGPD par les organisations, EMS Editions.
• Fernandez-Toro, A. (2018), Management de la sécurité de l'information : Présentation
générale de l'ISO 27001 et de ses normes associées - Une référence opérationnelle pour le
RSSI, Eyrolles.
• Ministère des Armées (2018), Loi de programmation militaire 2019-
2025, https://www.defense.gouv.fr/actualites/articles/le-president-de-la-republique-
promulgue-la-loi-de-programmation-militaire-2019-2025.

11
UE 5 : Mettre en place la sécurité technique du SI (12h)
Objectifs Compétences et connaissances
Agir concrètement pour la sécurité technique 5.1- Sécuriser l’infrastructure réseau.
du SI en utilisant les outils et démarches 5.2- Sécuriser l’infrastructure logicielle (OS,
appropriées. données, etc.)
5.3- Sécuriser le site web.
5.4- Utiliser les outils de la sécurité.
5.5- Utiliser la cryptologie.
Contenu
• Sécuriser l’infrastructure réseau :
o La sécurité des réseaux (LAN / WAN) et les protocoles réseaux.
o La sécurité de la voix sur IP.
o Sécurisation des réseaux wi-fi
o Sécurité du RFID et IoT
o Les protocoles sécurisés : VPN, SSL, SSH, IPSEC,
• Sécuriser l’infrastructure logicielle et matérielle :
o Operating System
o Bases de données
o Durcissement des configurations
• Sécuriser les applications web :
o OWASP (Open Web Application Security Project)
• Utiliser les outils de la sécurité :
o Anti virus / Anti spams
o Filtrage internet
o Firewall
o Les outils d'analyse et d'audits techniques.
o Sondes et Détection d'intrusion, analyse de trafic
o - Certains modules pourront être en anglais, présentés par des éditeurs de ces
outils.
• Utiliser la cryptologie :
o Introduction et enjeux des deux types de cryptographie.
o Protocoles d'échanges de clés et clés de groupes.
o Signature numérique, Identification et authentifications.
o Infrastructure à clé publique (PKI).

Évaluation
• Rédaction d’un micro-mémoire d’étude de cas sur un cas d’école ou sur l’activité
professionnelle.
• Conformité du micro-mémoire aux attentes.
Supports / outils / bibliographie
• Ghernaouti, S. (2016), Cybersécurité - Sécurité informatique et réseaux, Dunod.
• Engebretson, P. (2017), Les bases du hacking, Pearson France.
• Pérez, A. (2014), La sécurité des réseaux, ISTE Editions.
• ACISSI (2017), Sécurité informatique - Ethical Hacking : Apprendre l'attaque pour mieux se
défendre, Editions ENI.

12
Référentiel de compétences par UE

UE 1 : Comprendre le contexte de la cybersécurité (36h)

• Connaître les éléments de définition de la cybersécurité (enjeux, besoin, métiers,
composants, risques, etc.)
• Connaître les différents types d’attaque.
• Connaître les activités et métiers de la cybersécurité.

UE 2 : Identifier et gérer les risques (12h)

• Connaître les principaux risques.
• Analyser les risques.
• Traiter les risques et construire des plans d’actions.

UE 3 : Définir et organiser la sécurité du SI (36h)

• Définir une politique de sécurité, comprendre le principe du SMSI.
• Commanditer ou participer à un audit de sécurité.
• Intégrer la sécurité dans la conception et la réalisation du SI.
• Sensibiliser et former les collaborateurs.
• Préparer la gestion des crises, gérer les crises.
• Sécuriser les identités.
• Sécuriser l’infrastructure.
• Surveiller l’activité.

UE 4 : Intégrer l’environnement juridique, réglementaire et normatif (12h)

• Connaître l’environnement normatif (COBIT, ITIL, ISO, etc.)
• Connaître l’environnement législatif (LPM, NIS, etc.)
• Connaître l’environnement règlementaire et ses conséquences (CNIL, RGPD).

UE 5 : Mettre en place la sécurité technique du SI (12h)

• Sécuriser l’infrastructure réseau.
• Sécuriser l’infrastructure logicielle (OS, données, etc.)
• Sécuriser le site web.
• Utiliser les outils de la sécurité.
• Utiliser la cryptologie.

UE 6 : Mémoire de fin de formation

Les compétences validées par l’UE 6 sont les mêmes que celles des UE 1 à 5 dans le cadre d’une
analyse critique d’une mise en situation professionnelle donnant lieu à la rédaction d’un
mémoire et à une soutenance.

13